O Mestre de antivírus Killers

O Dridex tenta escapar de grandes fornecedores de software de segurança. É importante notar que nós não olhamos como o mecanismo de evasão usado por Dridex tentou atenuar todos estes softwares de segurança porque existiam em variantes mais velhas. No entanto, vimos uma nova cadeia módulo que tem como alvo uma outra empresa de segurança. Por isso, decidimos olhar para este módulo particular. Ao fazer diffing binário rápido entre a última e a variante mais antiga do Dridex, uma das novas mudanças na rotina, dropper_routine1, chamou a atenção:

Foi identificado as novas mudanças na dropper_routine1 com a tentativa de baixar um módulo, chamado mod9 internamente, no caso em que o produto afetado do fornecedor de segurança for encontrado instalado na máquina infectada. Assim, baixamos o módulo e, em seguida, confirmamos a hipótese de que Dridex está equipado com a capacidade de iludir os produtos de software de segurança mencionadas acima.

Ainda não temos certeza de quão verdadeira esta vulnerabilidade pode ser e quão sério é o impacto do seu produto, uma vez que é trivial para explorar esta vulnerabilidade, por isso decidimos não divulgar qualquer implementação detalhada de mod9 por agora.

O mistério por trás do módulo 5

O Dridex (também reconhecido como Dyre) foi descoberto em maio de 2015 como a primeira família de malware explorando a vulnerabilidade da janela do kernel corrigida na Microsoft Windows apelidada de CVE- 2015-0057. O patch foi lançado pela Microsoft como MS15-010 em fevereiro de 2015 antes do Dridex alavancar essa vulnerabilidade.

Em poucas palavras, a exploração da vulnerabilidade do kernel permite que o malware possa alcançar a elevação de privilégio (EoP na sigla em inglês – Elevation of Privilege), a fim de obter privilégios de sistema na máquina infectada, que oferece o pleno acesso de malwares para o sistema sem qualquer limitação de segurança. No entanto, percebemos que esta carga útil EoP foi removida de Dridex variantes distribuídas a partir de julho de 2015.

Na verdade, na recente investigação do Dridex, percebemos que ele ainda está alavancando a carga EoP de escalonamento de privilégios, mas a carga não está incorporando diretamente no binário do dropper. No entanto, o dropper do Dridex irá baixar esta carga útil EoP, chamado mod5 internamente, se estiverem reunidas as seguintes condições:

1. Certifique-se de que a máquina não tenha instalado patches de atualização da Microsoft: KB3034344 e KB3013455,

2. Verifique se o usuário atual não está sendo executado como administrador.

Por outro lado, se o usuário atual está sendo executado como administrador, ele vai continuar a alavancar técnicas de Controle de Acesso do Usuário (UAC) de bypass para elevar o nível de integridade de processo. Uma das técnicas de bypass UAC desenvolvidas pelo Dridex foi AppCompat whitelisting. No entanto, vale a pena mencionar que esta técnica de bypass UAC foi corrigida pela Microsoft também.

A maioria das funcionalidades do Dridex são realizadas por vários módulos para download a partir de servidores remotos e a maioria dos módulos estão bem cobertos por diferentes artigos do Dridex publicados online, exceto mod5.

Mais uma vez, os dados em resposta são criptografados usando RC4 com a mesma chave mencionada acima. Os dados descriptografados são encapsulados no formato XML, bem enquanto o blob de dados delimitado por tag é codificado usando Base64.

No entanto, o resultado do blob decodificado é bastante decepcionante, porque depois de analisá-lo, percebemos que ele ainda está explorando o mesmo CVE- 2015-0057 EoP vulnerabilidade. Mas a boa notícia é que podemos acompanhar o mais recente desenvolvimento deste módulo, no futuro, mais facilmente após a compreensão de como a infraestrutura de rede do Dridex subjacente funciona.

Patch da máquina remendado?

Outro achado interessante na análise recente do Dridex é a descoberta da cadeia de comando para desinstalar as atualizações da Microsoft. A boa notícia é que não encontramos qualquer referência deste comando a ser usado em qualquer lugar no código. Assumiu-se que esse recurso poderia ser implementado na versão futura do Dridex.

Concluindo

Para reiterar, o malware utiliza lotes de exploits visando vulnerabilidades corrigidas. Não podemos deixar de mencionar a importância de instalar as atualizações mais recentes da Microsoft para quebrar algumas das funcionalidades do malware. Isso, é claro, não pode garantir que você não seja infectado contra malware mas pode levantar a barra em busca de malware que comprometa totalmente sua máquina. A amostra do Dridex é detectada pelo Anti Vírus Fortinet como Malicious_Behavior.VEX.94 enquanto o tráfego do botnet é bloqueado pelo mecanismo de IPS Fortinet.

Fonte

Fortinet